Схемы безопасного хэширования, у которых длина хэш-значения

равна длине блока

Номер схемы	Функция хэширования
1 2 3 4 5 6 7 8 9 10 11 12	Hi = (Mi)  Mi Hi = (Mi  Hi–1)  Mi  Hi–1 Hi = (Mi)  Hi–1  Mi Hi = (Mi  Hi–1)  Mi Hi = (Hi–1)  Hi–1 Hi = (Mi  Hi–1) Mi  Hi–1 Hi = (Hi–1) Mi  Hi–1 Hi = (Mi  Hi–1)  Hi–1 Hi = (Mi)  Mi Hi = (Hi–1)  Hi–1 Hi = (Mi)  Hi–1 Hi = (Hi–1)  Mi

Сообщение M разбивается на блоки M_i принятой длины, которые обрабатываются поочередно.

Три различные переменные A, B и C могут принимать одно из четырех возможных значений, поэтому в принципе можно получить 64 варианта общей схемы этого типа. Из них 52 варианта являются либо тривиально слабыми, либо небезопасными. Остальные 12 безопасных схем хэширования перечислены в табл. 6.1 [121].

Первые четыре схемы хэширования, являющиеся безопасными при всех атаках, приведены на рис.6.3.

Рис.1.3. Четыре схемы безопасного хэширования

Отечественный стандарт хэш-функции

Российский стандарт ГОСТ Р 34.11-94 определяет алгоритм и процедуру вычисления хэш-функции для любых последовательностей двоичных символов, применяемых в криптографических методах обработки и защиты информации. Этот стандарт базируется на блочном алгоритме шифрования ГОСТ 28147-89, хотя в принципе можно было бы использовать и другой блочный алгоритм шифрования с 64-битовым блоком и 256-битовым ключом.

Данная хэш-функция формирует 256-битовое хэш-значение.

Функция сжатия H_i = f (M_i, H_i–1) (оба операнда M_i и H_i–1 являются 256-битовыми величинами) определяется следующим образом:

1. Генерируются 4 ключа шифрования K_j, j = 1…4, путем линейного смешивания M_i, H_i–1 и некоторых констант C_j.

2. Каждый ключ K_j, используют для шифрования 64-битовых подслов h_i слова H_i–1 в режиме простой замены: S_j= (h_j). Результирующая последовательность S₄, S₃, S₂, S₁ длиной 256 бит запоминается во временной переменной S.

3. Значение H_i является сложной, хотя и линейной функцией смешивания S, M_i и H_i–1.

При вычислении окончательного хэш-значения сообщения M учитываются значения трех связанных между собой переменных:

H_n – хэш-значение последнего блока сообщения;

Z – значение контрольной суммы, получаемой при сложении по модулю 2 всех блоков сообщения;

L – длина сообщения.

Эти три переменные и дополненный последний блок M´ сообщения объединяются в окончательное хэш-значение следующим образом:

H = f (Z  M´, f (L, f (M´, H_n))).

Данная хэш-функция определена стандартом ГОСТ Р 34.11-94 для использования совместно с российским стандартом электронной цифровой подписи.